在汽車日益網聯化、智能化的現在,汽車網絡安全正凸顯出越來越重的戰略地位。并且隨著汽車從傳統交通工具轉變為可移動的智能終端,監管機構和消費者對汽車及服務的網絡安全風險和隱私數據泄漏的擔憂也是與日俱增。由此國內外汽車網絡安全相關的標準與法規也就應運而生。
2020年6月,聯合國世界車輛法規協調論壇(WP.29)發布了關于智能網聯汽車的重要法規R155(Cybersecurity),并于2021年1月下旬開始實施。根據歐盟要求,從2022年7月起所有新車型必須滿足該法規獲取了WVTA(Whole Vehicle Type Approval)證書,才能歐盟上市銷售。2024年7月起制造的車輛必須滿足該法規要求方可出廠銷售。此法規適用范圍覆蓋了乘用車及商用車,適用于M類,N類車型,裝備了至少一個ECU的O類車型,以及具備L3及以上自動駕駛功能的L6和L7類車型[1]。
R155規定車輛在特定國家范圍內獲得認證并批準上市銷售的前提條件即強制要求。其合規認證主要分為兩部分,一是網絡安全管理體系認證CSMS,二是車輛網絡安全型式認證VTA。
CSMS認證審查車輛制造商是否在車輛完整生命周期的各個階段均制訂了網絡安全管理流程,以確保汽車全生命周期中都有對應的流程措施,保證信息安全設計、實施以及響應均有流程體系指導。R155法規中“7.2 網絡安全管理體系要求”具體闡述了OEM應該滿足的CSMS認證的內容要求。7.2.2明確規定OEM需要提供證據證明在車輛整個生命周期中各個階段都制訂了網絡安全管理體系要求,同時充分考慮了安全性以及風險和減緩措施。CSMS要求OEM對網絡攻擊、威脅以及漏洞進行持續監測,并對發現的網絡威脅和漏洞要在合理時間范圍內響應并得到緩解。此外還要求OEM證明對供應商、服務提供商、子公司的管理均符合7.2.2要求,以保證車輛網絡安全開發的一致性。
VTA認證則是進一步針對在車型開發過程中具體工作進行網絡安全審查,保證在進行審查認證時車輛的網絡安全技術已足夠完備。關于VTA認證的要求內容在R155法規中“7.3車輛型式需求”具體闡述。首先第一條就是OEM須持有與認證車型相關的CSMS證書。此外還提出了OEM在車型開發過程中需進行車型要素識別,做到詳盡的風險評估,管理并實施對應緩解措施來應對評估出的風險。同時在車輛認證之前OEM應對這些安全措施進行驗證來確保其有效性。
車輛必須同時滿足CSMS認證及VTA認證,才具備市場的準入資格。
2021年8月31日,由SAE和ISO共同制訂的,汽車網絡安全領域首個國際標準ISO/SAE 21434"Road Vehicles-Cybersecurity engineering"正式發布。
作為道路車輛網絡安全標準,ISO/SAE 21434要求覆蓋了車輛所有的生命周期,包括概念階段,開發,生產,運維,報廢等所有過程,為開發人員提供了全面的方法來實施整個供應鏈(開發商,供應商,制造商)的安全保障措施。所以總的來說ISO/SAE 21434是標準,也是方法論,對R155法規的落地起到了支撐作用。
ISO/SAE 21434的整體介紹如下圖所示:
ISO/SAE 21434由15章組成,主題部分為4~15章,包括組織及項目層級的網絡安全管理,客戶與供應商之間的職責分配,對量產后網絡安全的持續監測分析,第9~14章描述了從概念設計階段到產品開發,驗證,生產及運維和報廢的全生命周期的網絡活動和相關要求。在最后一章,標準提供了一套網絡安全威脅分析,風險評估的方法論(TARA)。
可以看出風險管理作為ISO/SAE 21434的核心思想,該標準在各階段均有相關風險應對,如開發階段通過TARA分析制訂策略來緩解網絡安全風險,在運維階段,通過安全監測,安全事件響應,漏洞管理等持續活動,來應對出現的各種安全風險。
綜上可以了解到R155和ISO/SAE 21434之間的相同點與不同點。相同點就是二者都要求在車輛整個生命周期均實施網絡安全。其次,二者對組織內部建立網絡安全管理體系均提出相關要求。不同點是屬性方面,法規是具有地域限制的。R155適用于歐盟國家,ISO/SAE 21434則屬于行業內標準,無地域限制及法律約束。另一個不同點ISO/SAE 21434在具體操作層面上給出了更詳盡的指導,如標準中有專門對TARA分析以及參考模型的介紹等。
在中國,相關部門也在制訂針對車輛的網絡安全體系和車輛產品型式市場準入的強制規范與標準。比如工信部組織編制了《關于加強智能網聯汽車生產企業及產品準入管理的意見》,《關于加強車聯網網絡安全和數據安全工作的通知》,提出了對網絡安全保護要求,明確企業在網絡安全防護中的義務和責任。類似于R155認證的強制規范《汽車整車信息安全技術要求》目前也正在起草中。
目前極氪也有車型出口計劃,所以極氪已經建立了相對完善的網絡安全開發管理體系,CSMS認證相關工作也有條不紊的開展中。同時積極參與國內強標的制定及VTA認證方法的探討,助力國內網絡安全工作落地。
轉載汽車電子相關文章
轉自汽車電子與軟件
